Trusted Extensions で NFS マウントされたディレクトリへのアクセス

デフォルトでは、NFS マウントされたファイルシステムは、エクスポートされたファイルシステムのラベルで表示可能です。ファイルシステムが読み取り/書き込み権付きでエクスポートされた場合、そのラベルのユーザーはファイルに書き込むことができます。ユーザーの現在のセッションよりも下位のラベルにある NFS マウントは、ユーザーに表示されますが、書き込みはできません。ファイルシステムが読み取り/書き込み権付きで共有されている場合でも、マウントする側のシステムはマウントのラベルでだけそのファイルシステムに書き込むことができます。

NFS マウントされた下位レベルのディレクトリを上位ゾーンのユーザーに表示可能にするには、NFS サーバー上の大域ゾーンの管理者が親ディレクトリをエクスポートする必要があります。親ディレクトリは、そのラベルでエクスポートされます。クライアント側では、各ゾーンに net_mac_aware 特権が必要です。デフォルトでは、ラベル付きゾーンは limitpriv セットに net_mac_aware 特権を含みます。

• サーバー構成 – NFS サーバーでは、dfstab ファイルで親ディレクトリをエクスポートします。親ディレクトリがラベル付きゾーンにある場合、親ディレクトリのラベル付きゾーンで dfstab ファイルを変更する必要があります。ラベル付きゾーンの dfstab ファイルは、大域ゾーンからのみ表示できます。手順については、「ラベル付きゾーンのディレクトリを共有する」を参照してください。

• クライアント構成 – 初期ゾーン構成中に使用されるゾーン構成ファイルで、net_mac_aware 特権を指定する必要があります。そのため、下位ホームディレクトリの表示をすべて許可されているユーザーは、最小ゾーンを除く各ゾーンで net_mac_aware 特権を持っている必要があります。例については、「ラベル付きゾーンでファイルを NFS マウントする」を参照してください。

例 11–1 下位ホームディレクトリへのアクセスの許可

ホームディレクトリサーバーで、管理者はすべてのラベル付きゾーンで /zone/labeled-zone/etc/dfs/dfstab ファイルを作成および変更します。dfstab ファイルは、読み取り/書き込み権付きで /export/home ディレクトリをエクスポートします。したがって、ディレクトリが同じラベルでマウントされると、ホームディレクトリは書き込み可能になります。PUBLIC の /export/home ディレクトリをエクスポートする場合、管理者はホームディレクトリサーバー上に PUBLIC ラベルのワークスペースを作成し、大域ゾーンから /zone/public/etc/dfs/dfstab ファイルを変更します。

クライアントで、大域ゾーンの管理者は、最小ラベルを除く各ラベル付きゾーンに net_mac_aware 特権があることを確認します。この特権によってマウントが許可されます。この特権は、ゾーン構成の際に zonecfg コマンドを使用して指定することができます。下位レベルのホームディレクトリは、表示だけが可能です。ディレクトリ内のファイルは変更できないよう、MAC により保護されています。

Trusted Extensions でのホームディレクトリの作成

Trusted Extensions で、ホームディレクトリは特別な存在です。ユーザーが使用できる各ゾーンに、必ずホームディレクトリが作成されている必要があります。また、ホームディレクトリのマウントポイントは、ユーザーのシステム上のゾーンに作成する必要があります。NFS マウントされたホームディレクトリが正常に動作するためには、通常のディレクトリ位置 /export/home を使用します。Trusted Extensions では、オートマウンタは、各ゾーンつまり各ラベルのホームディレクトリを処理できるように修正されています。詳細は、「Trusted Extensions のオートマウンタに対する変更」を参照してください。

ホームディレクトリは、ユーザーの作成時に作成されます。Trusted Extensions では、Solaris 管理コンソール (コンソール) を使用してユーザーを作成するため、ホームディレクトリはコンソールによって作成されます。ただし、ホームディレクトリサーバーの大域ゾーンにあるホームディレクトリは、コンソールによって作成されます。このサーバー上では、ディレクトリは LOFS によりマウントされます。ホームディレクトリは、LOFS マウントとして指定されている場合、オートマウンタによって自動的に作成されます。

コンソールを使用してユーザーを削除すると、大域ゾーンにあるユーザーのホームディレクトリのみが削除されます。ラベル付きゾーンにあるユーザーのホームディレクトリは削除されません。ラベル付きゾーンにあるホームディレクトリのアーカイブと削除についてはユーザー自身が行う必要があります。手順については、「Trusted Extensions システムからユーザーアカウントを削除する」を参照してください。

ただし、遠隔 NFS サーバー上のホームディレクトリはオートマウンタで自動的に作成できません。ユーザーがまず NFS サーバーにログインするか、管理者の操作が必要になります。ユーザーのホームディレクトリの作成については、『Oracle Solaris Trusted Extensions 構成ガイド』の「Trusted Extensions でユーザーがホームディレクトリにアクセスできるようにする」を参照してください。

Trusted Extensions のオートマウンタに対する変更

Trusted Extensions では、ラベルごとに別個のホームディレクトリマウントが必要です。automount コマンドは、これらのラベル付き自動マウントを処理できるように修正されています。各ゾーンでは、オートマウンタ autofs が auto_home_zone-name ファイルをマウントします。たとえば、auto_home_global ファイルの大域ゾーンに対するエントリは次のようになります。

+auto_home_global
*       -fstype=lofs    :/export/home/&

下位レベルのゾーンのマウントを許可するゾーンが起動すると、次のようになります。下位レベルのゾーンのホームディレクトリは、/zone/<zone-name>/export/home 以下に読み取り専用でマウントされます。auto_home_<zone-name> マップにより、/zone パスが、/zone/< zone-name>/home/<username> への lofs 再マウントのソースディレクトリとして指定されます。

たとえば、上位レベルのゾーンから生成された auto_home_zone-at-higher-label マップにおける auto_home_public エントリは、次のようになります。

+auto_home_public
*       -fstype=lofs    :/zone/public/export/home/&

公共ゾーンで対応するエントリは次のとおりです。

auto_home_public
*       -fstype=lofs    :/export/home/&

ホームディレクトリが参照され、その名前が auto_home_<zone-name> マップのどのエントリにも一致しない場合、マップはこのループバックマウント指定との照合を試行します。次の 2 つの条件が満たされた場合に、ホームディレクトリが作成されます。

1. マップが、一致するループバックマウント指定を検出する

2. ホームディレクトリ名が、zone-name にまだホームディレクトリを持たない有効なユーザーに一致する

オートマウンタに対する変更については、automount(1M) のマニュアルページを参照してください。